Politica della Sicurezza delle informazioni

Transcript

1 Politica della Sicurezza delle documento redatto in data 25 luglio 2007 e revisionato in data 10 luglio 2012

2 CONTENUTI Politica SGSI 1. DICHIARAZIONE DI PRINCIPIO INTRODUZIONE ESIGENZA DI UNA POLITICA DELLA SICUREZZA DELLE INFORMAZIONI SCOPO CAMPO DI APPLICAZIONE E DESTINATARI OBIETTIVI REVISIONE E CONTROLLO RIFERIMENTI NORMATIVI E STANDARD USO DEI SISTEMI DI ELABORAZIONE DELL INFORMAZIONE VERIFICHE DI SICUREZZA E CONTROLLI STRUMENTAZIONI ORGANIZZAZIONE E RESPONSABILITÀ DELLA SICUREZZA OBIETTIVO DIREZIONE COMITATO DIRETTIVO PER LA SICUREZZA (CDS) COMITATO OPERATIVO PER LA SICUREZZA (COS) RESPONSABILITÀ DEI DIRIGENTI E DEI RESPONSABILI DI FUNZIONE REFERENTI DEI DATI RESPONSABILE SISTEMI INFORMATIVI E GESTIONE SICUREZZA INFORMATICA RESPONSABILE INFORMATIZZAZIONE INTERNA E GESTIONE INFRASTRUTTURE INFORMATICHE DIPENDENTI E COLLABORATORI SCAMBIO DI INFORMAZIONI OBIETTIVO FLUSSI INFORMATIVI CON ALTRE ORGANIZZAZIONI GESTIONE DEI RISCHI OBIETTIVO INTERRUZIONE DI SERVIZIO ACCESSI NON AUTORIZZATI QUALITÀ DEI DATI FURTI INFORMATICI SOFTWARE MALEVOLO (VIRUS, TROJAN, ECC.) TRATTAMENTO DEI DATI PERSONALI CONTINUITÀ OPERATIVA (BUSINESS CONTINUITY) OBIETTIVO REQUISITI PER L OPERATIVITÀ ELEMENTI DI PIANIFICAZIONE INVENTARIO DELLE RISORSE INFORMATICHE

3 9.1. OBIETTIVO INVENTARIO INVENTARIO HARDWARE INVENTARIO SOFTWARE SICUREZZA FISICA ED AMBIENTALE OBIETTIVO SICUREZZA DELLE AREE SICUREZZA DEI LOCALI CONTROLLO ACCESSO AI LOCALI SICUREZZA LOGICA OBIETTIVO ACCESSO AI SISTEMI ED ALLE APPLICAZIONI UTILIZZO DEL SOFTWARE BACKUP DEI DATI ED USO DEI DISPOSITIVI DI MEMORIZZAZIONE SICUREZZA DELLE RETI E DELLE COMUNICAZIONI GESTIONE DEGLI INCIDENTI

4 1. Dichiarazione di principio La Politica di Sicurezza delle Informazioni in AGREA ha l obiettivo di proteggere le risorse informative da tutte le minacce, siano esse organizzative o tecnologiche, interne o esterne, accidentali o intenzionali. A tal fine AGREA approva la presente Politica di Sicurezza delle Informazioni finalizzata a: garantire la riservatezza delle ; mantenere l'integrità delle ; assicurare la disponibilità dei servizi informatici; rispettare i requisiti normativi, legislativi e le regole interne; formare il personale alla sicurezza delle ; tenere traccia e studiare qualsiasi incidente, reale o presunto, che interessi la sicurezza delle ; stabilire regole, elaborare piani e adottare misure per attuare la migliore politica di sicurezza delle ; ed inoltre di: indicare il Direttore dell Agenzia quale responsabile della attuazione della politica di sicurezza delle ; stabilire che i Dirigenti ed i Responsabili di Funzioni Organizzative (P.O.) sono responsabili nei rispettivi servizi e funzioni, della applicazione e del rispetto della politica di sicurezza delle ; assegnare ad ogni operatore dell Agenzia, dipendente e/o collaboratore, la responsabilità per il rispetto della politica di sicurezza delle. 2. Introduzione La politica di sicurezza delle di AGREA è attuata per proteggere, per quanto possibile e comunque ad un livello ottimale e ad un costo compatibile con le specificità dell Agenzia, il sistema di gestione delle, da eventi intesi come minacce o incidenti, esterni e/o interni, oggettivi e/o soggettivi, che possono compromettere l erogazione dei servizi. Lo scopo di questo documento è indicare le esigenze, gli obiettivi, le finalità, ed i modelli organizzativi della strategia di sicurezza che AGREA intende perseguire, al fine di orientare lo sviluppo, la gestione, il controllo e la verifica dell efficacia della sua attuazione. 4

5 2.1. Esigenza di una politica della sicurezza delle AGREA istituita con L.R. n. 21 del 23 luglio 2001 e dotata di piena autonomia amministrativa, organizzativa e contabile, è l Ente regionale che, in qualità di Organismo Pagatore Regionale (OPR) riconosciuto dall Unione Europea, ha come mission l erogazione di aiuti, contributi e premi previsti da disposizioni comunitarie, nazionali e regionali, a favore degli operatori del settore agricolo. AGREA per supportare in modo efficiente e tempestivo il complesso delle azioni connesse alla sua missione, oltre ad avvalersi dei servizi informatici e di rete della Regione Emilia-Romagna, ha realizzato un proprio sistema informativo ad alto contenuto innovativo. Il sistema informativo che supporta la gestione delle attività di AGREA (SIOPR), è in grado di governare le diverse fasi attraverso cui si perviene all erogazione del contributo e, per ciascuna fase, tramite check-list guida l'operatore nelle attività da svolgere. Il sistema memorizza i dati dell'utente, individua la struttura/ente a cui appartiene e registra le variazioni apportate ai dati a cui ha accesso. Il SIOPR utilizza, per l ampiezza territoriale ed il numero di attori coinvolti, in modo intenso le tecnologie della comunicazione. Questa necessità rende le trasmesse, soggette ad intrusioni e conseguenti rilevazioni illegali e possibili modifiche. Per fronteggiare questa eventualità è stato predisposto, accanto a quello della parte operativa, il sistema di sicurezza della parte comunicativa che, dotato di adeguata strumentazione tecnologica ed organizzativa, consente di proteggere l integrità e l autenticità dell informazione trasmessa Scopo AGREA considera il sistema di gestione e le gestite, per il particolare rilievo che hanno assunto per il perseguimento dei propri fini istituzionali, parte integrante del proprio patrimonio. E obiettivo di assoluta priorità per AGREA, salvaguardare la sicurezza del proprio sistema informativo e tutelare la riservatezza, l integrità e la disponibilità delle prodotte, raccolte o comunque trattate, da ogni minaccia intenzionale o accidentale, interna o esterna. In tale contesto si intende per: Riservatezza la garanzia che una determinata informazione sia preservata da accessi impropri e sia utilizzata esclusivamente dai soggetti autorizzati. Integrità la garanzia che ogni informazione sia realmente quella originariamente inserita nel sistema informatico e sia stata modificata in modo legittimo da soggetti autorizzati. Disponibilità la garanzia di reperibilità dell informazione in relazione alle esigenze di 5

6 continuità di erogazione del servizio e di rispetto delle norme che ne impongono la conservazione sicura. Autenticità la garanzia che l informazione ricevuta corrisponda a quella generata dal soggetto o entità che l ha trasmessa. AGREA pone a base della politica di tutela delle, una idonea Analisi dei Rischi di tutte le risorse (asset) che costituiscono il sistema di gestione delle, al fine di comprendere le vulnerabilità, di valutare le possibili minacce e di predisporre le necessarie contromisure. La consapevolezza che non è possibile ottenere, in ambito informatico come del resto in natura, una condizione di sicurezza assoluta, comporta che lo scopo della politica di sicurezza delle è quello di gestire il rischio ad un livello accettabile attraverso la progettazione, l attuazione ed il mantenimento di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) Campo di applicazione e destinatari La politica di sicurezza delle è valida per l intera Agenzia, con riferimento principale alla funzione di Organismo Pagatore Regionale. La politica si applica a tutte le trattate nell ambito prima definito, qualsiasi natura e forma esse abbiano o prendano, e a tutti i sistemi di gestione e supporti di memorizzazione utilizzati per il loro trattamento e conservazione. I destinatari della politica sono tutti i collaboratori dell Agenzia dipendenti o consulenti, a tempo pieno e a tempo determinato. Sono tenuti al rispetto della politica tutti i soggetti che a vario titolo fruiscono dei servizi informativi di AGREA, nonché i visitatori e gli ospiti. In particolare, sono tenuti al rispetto della politica di sicurezza, i fornitori di servizi informatici per la loro tipica condizione di operare direttamente sui sistemi di gestione delle Obiettivi garantire al personale ed ai collaboratori una adeguata conoscenza e grado di consapevolezza dei problemi connessi con la sicurezza dell informazione, al fine di acquisire sufficiente coscienza delle loro responsabilità in merito al suo trattamento; accertare che tutti i fornitori esterni abbiano consapevolezza dei problemi di sicurezza delle di AGREA e rispettino la politica di sicurezza adottata dall Agenzia; stabilire delle linee guida per l applicazione di standard, procedure e sistemi per realizzare il Sistema di Gestione della Sicurezza dell Informazione (SGSI); 6

7 adottare l ISO 27002: Code of practice fo information systems security -, come standard per l implementazione del Sistema di Gestione della Sicurezza dell'informazione e perseguire la conformità; garantire che tutto il personale AGREA abbia consapevolezza delle regole tecniche ed organizzative nell utilizzo dei sistemi informativi della Regione contenute nel Disciplinare Tecnico per utenti sull utilizzo dei sistemi informativi nella Giunta e nell Assemblea Legislativa della Regione Emilia-Romagna ; garantire che tutto il personale sia informato della responsabilità nella gestione delle ; garantire a tutti i collaboratori la conoscenza del Codice sulla protezione dei dati personali e delle relative implicazioni, nonché delle modalità di applicazione delle misure previste, come specificato del Documento Programmatico della Sicurezza e richiamate nel Manuale di Istruzioni per il trattamento dei dati personali Revisione e controllo Il Direttore dell Agenzia è responsabile della revisione periodica della politica affinché sia allineata agli eventuali e significativi cambiamenti intervenuti nell organizzazione e/o nelle tecnologie utilizzate per la protezione delle. La revisione sarà fatta almeno una volta all anno o in occasione di significative modifiche organizzative e/o tecnologiche rilevanti per la gestione delle. La politica per la sicurezza delle rientra tra i settori importanti oggetto di verifica di efficacia nell ambito del programma di lavoro del Servizio di Controllo interno con cadenza non superiore a cinque anni (punto 4 B ii dell allegato 1 - criteri per il riconoscimento - del Reg. CE 885/2006) Riferimenti normativi e Standard Molti aspetti della sicurezza delle sono normati dalla legislazione italiana e comunitaria; di seguito sono indicate le norme che si ritengono più importanti. Risoluzione del Consiglio dell Unione Europea del 6 dicembre 2001: Approccio comune nel settore della sicurezza delle reti e dell informazione. Raccomandazione del Consiglio dell Unione Europea del 25 luglio 2002: Linee guida dell OCSE sulla sicurezza dei sistemi e delle reti di informazione. 7

8 Decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003: Approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione, ai sensi dell'art. 10, comma 1, del D.Lgs. 23 gennaio 2002, n.10. Normativa settoriale Regolamento della Commissione Europea del 21 giugno 2006 n.885/2006: modalità di applicazione del Reg. (CE) n.1290/2005 del Consiglio per quanto riguarda il riconoscimento degli organismi pagatori e di altri organismi e la liquidazione dei conti FEAGA e del FEASR. REG. (CE) 19 GENNAIO 2009, N. 72/2009: Regolamento del Consiglio che modifica i Regolamenti (CE) n.247/2006, (CE) n.320/2006, (CE) n.1405/2006, (CE) n.1234/2007, (CE) n.3/2008 e (CE) n.479/2008 e che abroga i regolamenti (CEE) n.1883/78, (CEE) n.1254/89, (CEE) n.2247/89, (CEE) n.2055/93, (CE) n.1868/94, (CE) n.2596/97, (CE) n.1182/2005 e (CE) n.315/2007 al fine di adeguare la politica agricola comune. REG. (CE) 19 GENNAIO 2009, N. 73/200: Regolamento del Consiglio che stabilisce norme comuni relative ai regimi di sostegno diretto agli agricoltori nell'ambito della politica agricola comune e istituisce taluni regimi di sostegno a favore degli agricoltori, e che modifica i Regolamenti (CE) n.1290/2005, (CE) n.247/2006, (CE) n.378/2007 e abroga il Regolamento (CE) n. 1782/2003. REG. (CE) N.74/2009: Regolamento del Consiglio che modifica il Regolamento (CE) n. 1698/2005 sul sostegno allo sviluppo rurale da parte del fondo europeo agricolo per lo sviluppo rurale (FEASR). Privacy D.lgs. 30 giugno 2003, n.196 : Codice in materia di protezione dei dati personali. o Deliberazione del Garante Privacy numero 53 del 23 novembre 2006: "Linee guida in materia di trattamento di dati personali di lavoratori". o Deliberazione del Garante Privacy numero 13 del 1 marzo 2007: uso delle e di Internet. 8

9 o o o o o o o Provvedimento del Garante Privacy del 13 ottobre 2008: smaltimento e cancellazione sicura dei dati. Provvedimento del Garante Privacy del 27 novembre 2008: amministratori di sistema; modificato dal Provvedimento del 25 giugno Provvedimento del Garante Privacy dell 8 aprile 2010: videosorveglianza. Articolo 6 del D.L.13 maggio 2011, n.70: Semestre Europeo - Prime disposizioni urgenti per l'economia - Decreto Sviluppo convertito in legge, con modificazioni, dall'art. 1, comma 1, L. 12 luglio 2011, n Articolo 40, comma 2, lettera a) e b) del D.L. 6 dicembre 2011, n. 201: Disposizioni urgenti per la crescita, l'equità e il consolidamento dei conti pubblici, convertito con modificazioni dalla legge 22 dicembre 2011, n.214. Articolo 45 del D.L. 9 febbraio 2012, n.5: Disposizioni urgenti in materia di semplificazione e di sviluppo, convertito in legge, con modificazioni, dall'art. 1, comma 1, L. 4 aprile 2012, n. 35. D.Lgs n. 69; Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori Normativa sulla amministrazione digitale D.lgs. 7 marzo 2005, n. 82: Codice dell amministrazione digitale Decreto del Presidente del Consiglio dei Ministri 31 ottobre 2000: Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n Deliberazione AIPA n. 51/2000 del 23 novembre 2000: Regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni ai 9

10 sensi dell art. 18, comma 3, del Decreto del Presidente della Repubblica 10 novembre 1997, n Decreto del Presidente della Repubblica 28 dicembre 2000 n. 445: Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa. Decreto del Presidente della Repubblica dell'11 febbraio 2005 n.68: Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3. D.lgs. 28 febbraio 2005, n. 42: Istituzione del Sistema pubblico di connettività e della rete internazionale della pubblica amministrazione. Decreto del Presidente del Consiglio dei Ministri 30 marzo 2009: Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici. Deliberazione CNIPA n. 45 del 21 maggio 2009: Regole per il riconoscimento e la verifica del documento informatico. D.Lgs n. 235: Modifiche ed integrazioni al decreto legislativo 7 marzo 2005, n. 82, recante Codice dell'amministrazione digitale, a norma dell'articolo 33 della legge 18 giugno 2009, n. 69. Decreto legge 22 giugno 2012 n.83: Misure urgenti per la crescita del paese, convertito con modificazioni dalla legge 7 agosto 2012 n.134. Decreto legge 6 luglio 2012 n.95: Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini nonché misure di rafforzamento patrimoniale delle imprese del settore bancario, convertito con modificazioni dalla legge 7 agosto 2012 n.135. Computer Crime Legge n dicembre 1993: Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica. 10

11 Legge 18/03/2008, n.48: Ratifica ed esecuzione della Convenzione del Consiglio d'europa sulla criminalità informatica stipulata a Budapest il 23 novembre 2001 e norme di adeguamento dell'ordinamento interno. Diritto d'autore L. 22 aprile 1941, n. 633: Protezione del diritto d'autore e di altri diritti connessi al suo esercizio. D.lgs. 518/1992: attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per elaboratore. D.lgs. 169/1999: attuazione della direttiva 96/9/CE relativa alla tutela giuridica delle banche di dati. D.lgs. 10 febbario 2005 n.30: Codice della proprietà industriale. Decreto Ministero dello Sviluppo Economico 13 gennaio 2010 n.33: Regolamento di attuazione del Codice della proprietà industriale. Standard I principali standard posti base della politica di sicurezza delle, sono: ISO 9001: Sistemi di Gestione per la Qualità - Requisiti ISO/IEC 73: Risk management Vocabulary Guidelines for use in standards UNI ISO 31000: Gestione del rischio Principi e linee guida ISO/IEC 27001: Information security management systems Requirements ISO/IEC : Code of practice for information security management Gli standard tecnologici e metodologici a cui AGREA fa riferimento per lo sviluppo del proprio sistema informativo sono contenuti nelle Linee guida per la governance del sistema informatico regionale approvate dalla Direzione Generale Centrale Organizzazione, Personale, Sistemi informativi e Telematica. 3. Uso dei sistemi di elaborazione dell informazione AGREA considera i sistemi di elaborazione delle, come strumenti di lavoro ed il loro uso, da parte di coloro che vi operano, a qualunque livello e a qualsiasi rapporto, è regolato dal Disciplinare Tecnico per utenti sull utilizzo dei sistemi informativi nella Giunta e nell Assemblea Legislativa della Regione Emilia-Romagna recepito con determina n.278 del 30 marzo 2012 pubblicata nell Intranet dell Agenzia. 11

12 Gli strumenti messi a disposizione devono essere utilizzati per lo svolgimento dell attività lavorativa in modo strettamente pertinente alle specifiche finalità della propria attività, nel rispetto delle esigenze di funzionalità e sicurezza dei sistemi stessi e della rete, e tenendo sempre presente l interesse collettivo al risparmio delle risorse pubbliche. AGREA, conformemente alla normativa regionale, ammette l uso degli strumenti informatici ed in particolare di Internet, per motivi personali, soltanto in caso di urgenza e comunque non in modo ripetuto e per periodi di tempo prolungati, in ogni caso sempre nel rispetto del principio di riservatezza e dell esigenze di funzionalità della rete e di semplificazione dei processi lavorativi. AGREA, perseguirà a norma di legge e del vigente contratto di lavoro il collaboratore che utilizza in modo non appropriato i sistemi di elaborazione delle, poiché l eventuale esposizione al rischio impedirebbe all Agenzia lo svolgimento dei compiti istituzionali. 3.1 Verifiche di sicurezza e controlli strumentazioni Per verificare il corretto utilizzo di tutte le strumentazioni informatiche messe a disposizione degli utenti, AGREA ha recepito con propria determinazione n.682 del 30 dicembre 2009, pubblicata nell Intranet dell Agenzia, quanto stabilito dal Disciplinare Tecnico su modalità e procedure per verifiche di sicurezza sui Sistemi Informativi, per controlli sull'utilizzo dei beni messi a disposizione dall'ente per attività lavorativa con riferimento alle strumentazioni informatiche e telefoniche ed esemplificazioni di comportamenti per il corretto utilizzo dei beni, da applicare nella Giunta e nell'assemblea Legislativa della Regione Emilia-Romagna. 4. Organizzazione e responsabilità della sicurezza E relativa all individuazione delle procedure dirette alla gestione e controllo delle misure di sicurezza adottate e si concretizza nell individuazione di ruoli, funzioni e responsabilità coinvolte nella realizzazione e gestione del sistema di sicurezza delle Obiettivo Assicurare che i dirigenti ed i collaboratori, in una visione che la sicurezza delle è una responsabilità comune, siano adeguatamente informati e formati sul ruolo che possono svolgere al fine di minimizzare i rischi derivanti dalle minacce alla sicurezza del sistema di gestione delle Direzione Il Direttore è il responsabile dei contenuti della politica di sicurezza delle, della sua emanazione, attuazione ed aggiornamento. Il Direttore si avvale del supporto tecnico ed 12

13 organizzativo del Comitato Direttivo per la Sicurezza (CDS) e del Comitato Operativo per la Sicurezza (COS), di cui ai successivi punti 4.3 e 4.4, per la definizione e attuazione della politica di sicurezza dell informazione Comitato Direttivo per la Sicurezza (CDS) Il CDS (Comitato Direttivo per la Sicurezza), è l organo decisionale in termini di politiche ed investimenti da sostenere e la sua composizione, definita in armonia all Organizzazione di Agrea, è descritta di seguito in questo paragrafo. La partecipazione al CDS può essere ampliata di volta in volta qualora ci sia l esigenza di esaminare temi specifici. Il CDS ha la funzione di supportare il Direttore nella ricerca ed indicazione delle linee guida e delle migliori modalità di applicazione della politica di sicurezza delle. Il CDS è composto da: - Direttore - Dirigente del Servizio Tecnico e di Autorizzazione - Dirigente del Servizio di Controllo Interno - Dirigente della funzione Pagamenti - Dirigente della funzione Sistemi Informativi e Gestione della Sicurezza Informatica - Responsabile della funzione Affari Generali Comitato Operativo per la Sicurezza (COS) Il COS è l organo deputato ad affrontare e risolvere le problematiche di carattere operativo che possono insorgere sia nelle attività di definizione e miglioramento del Sistema di Gestione per la Sicurezza delle Informazioni, sia nell attuazione dello stesso. Il COS si riunisce con cadenza semestrale. Può essere indetto su richiesta del Direttore ad evento e con una frequenza superiore a quella semestrale. Redige e condivide i documenti da sottoporre alla approvazione del Direttore. Il COS di regola è composto da: - Direttore, che lo coordina e lo presiede - Responsabile della funzione audit interno. - Responsabile dello sviluppo applicazioni informatiche - Responsabile dell informatizzazione interna e gestione infrastrutture informatiche - Titolare del supporto giuridico alla direzione. Dal momento che il Direttore può scegliere e convocare i membri del COS garantendo l adeguatezza della composizione in riferimento agli ambiti e le problematiche del caso, 13

14 possono essere chiamati a partecipare ala COS i responsabili delle funzioni pertinenti gli specifici aspetti che devono essere affrontati (es. Responsabili delle pertinenti Linee di Servizio) Responsabilità dei Dirigenti e dei Responsabili di Funzione E responsabilità dei dirigenti e dei responsabili di funzione assicurarsi che: a) i propri collaboratori siano informati delle clausole di riservatezza contenute nel contratto di lavoro; siano istruiti, tramite appositi corsi, previsti nel Piano annuale di Formazione, circa la loro responsabilità rispetto alla sicurezza delle ; siano autorizzati all'accesso a sistemi o applicazioni o dati a seguito di individuazione della griglia dei diritti di accesso, coerente con il ruolo e le attività svolte. La comunicazione per l autorizzazione dei diritti di accesso da inviare all Amministratore di sistema, deve essere effettuata nel rispetto delle procedure specifiche di accesso dei sistemi o applicazioni o dati; siano addestrati all uso dei sistemi di elaborazione dei quali sono stati autorizzati; abbiano accesso e abbiano preso conoscenza delle politiche di sicurezza dell informazione dell'agenzia, consultabile nell Intranet (InAgrea) alla voce Tutela della Privacy e Sicurezza delle Informazioni ; b) la documentazione del Servizio/Ufficio inerente le attività di gestione dell informazione sia aggiornata affinché tutte le attività di lavoro ritenute critiche possano svolgersi con continuità nel caso di indisponibilità dei collaboratori addetti; c) i cambiamenti nelle mansioni o attività dei collaboratori (per esempio in caso di spostamenti organizzativi) che comportano variazioni del profilo d accesso ai sistemi, applicazioni e dati, siano comunicati ai relativi amministratori di sistema e, per conoscenza al Responsabile della Sicurezza informatica, per variare o, se necessario, cancellare il profilo e le credenziali di accesso. La comunicazione deve essere effettuata nel rispetto delle procedure specifiche di accesso Referenti dei dati Ogni Servizio/Ufficio individua tra i propri componenti, il referente dei dati. La responsabilità implica: la conoscenza delle basi dati e dei sistemi di pertinenza del servizio/ufficio così come specificato nel documento di Analisi dei Rischi delle risorse informative ; 14

15 la definizione del profilo di accesso degli utenti (chi può accedere a quale, come e quando) in relazione alla responsabilità organizzativa e della classificazione dei dati definita nel relativo documento; l assicurazione che ogni eventuale violazione delle norme di sicurezza che avviene sui dati di cui è proprietario sia denunciata al Responsabile della Sicurezza adottando la procedura prevista da Disciplinare tecnico per la gestione degli incidenti di sicurezza informatica della Giunta Regionale e della Assemblea legislativa. la diffusione ed il rispetto nel proprio ambito di attività, delle istruzioni sull utilizzo dei supporti di memorizzazione mobili dei dati, descritte nel Disciplinare Tecnico per utenti sull utilizzo dei sistemi informativi nella Giunta e nell Assemblea Legislativa della Regione Emilia-Romagna Responsabile Sistemi informativi e Gestione Sicurezza Informatica È responsabile della sicurezza informatica e definisce, di concerto con il Direttore di AGREA, il Piano Strategico del Sistema Informativo nel rispetto degli obiettivi dell Agenzia e dell Accordo di Servizio per l utilizzo, da parte di AGREA, dei servizi informatici e di rete della Regione Emilia-Romagna, approvato con determina del Direttore di AGREA n. 374 del 13 maggio 2011 e con determina del Direttore Generale Centrale Organizzazione, Personale, Sistemi informativi della Regione Emilia-Romagna n del 13 maggio Coordina e gestisce le risorse umane e tecnologiche del Servizio e intrattiene rapporti con i fornitori esterni di servizi informatici. Coordina le risorse, interne ed esterne, nella progettazione di nuovi programmi e controlla lo sviluppo delle nuove implementazioni nonché della manutenzione, correttiva e/o evolutiva, di quelli esistenti. Il Responsabile fornisce inoltre idonea garanzia del pieno rispetto delle disposizioni vigenti in materia di sicurezza dell informazione e dei suoi trattamenti. Organizza e sovrintende, in collaborazione con la Direzione Generale Centrale-Organizzazione Personale Sistema Informativo e Telematica della Regione Emilia-Romagna, la realizzazione della struttura di sicurezza finalizzata a prevenire e proteggere, in armonia con le misure di sicurezza regionali, il complesso degli archivi, delle procedure e dei sistemi, da minacce ed eventi critici al fine di garantire la continuità del servizio dell Agenzia Responsabile informatizzazione interna e gestione infrastrutture informatiche Predispone il piano per l'acquisizione di hardware e ne esegue o controlla la successiva installazione fisica. Provvede all'installazione dei sistemi operativi e del SW applicativo, alla manutenzione sistemistica delle stazioni di lavoro degli utenti interni; alla gestione dell'attività 15

16 sistemistica sui server (salvataggi, aggiornamenti, ecc), comprese le basi dati multiutente. E' amministratore del sistema di accesso alla rete regionale e in tale ruolo, gestisce le credenziali di accesso dei collaboratori Dipendenti e collaboratori Ogni collaboratore di AGREA, a qualunque titolo, è tenuto: al rispetto, nello svolgimento delle sue attività lavorative, delle misure di sicurezza delle e della applicazione delle relative procedure; a segnalare violazioni delle misure di sicurezza delle, adottando la procedura prevista da Disciplinare tecnico per la gestione degli incidenti di sicurezza informatica della Giunta Regionale e della Assemblea legislativa. 5. Scambio di 5.1. Obiettivo Gestire gli scambi di con determinate strutture esterne, enti e/o organizzazioni pubbliche e private, senza compromettere l integrità e la riservatezza delle e, nel contempo, garantire la sicurezza e la correttezza dell operatività dei sistemi di elaborazione e di comunicazione Flussi informativi con altre organizzazioni AGREA scambia con soggetti regionali, nazionali ed europei che, in generale, rivestono un ruolo specifico nella missione dell Agenzia e, comunque, gli scambi avvengono sulla base di norme di legge, accordi o protocolli d intesa. I flussi informativi con i soggetti esterni sono caratterizzati dalla conformità alle regole concordate al fine di preservare l integrità, la riservatezza, l autenticità delle scambiate e la sicurezza dei sistemi di elaborazione nel rispetto della normativa, nazionale e comunitaria, vigente. 6. Gestione dei rischi 6.1. Obiettivo Identificare e contrastare le possibili minacce alla sicurezza dei sistemi e delle dell'agenzia, al fine di predisporre adeguate misure di prevenzione e protezione. 16

17 L Agenzia completerà l Analisi dei Rischi delle risorse informative che supportano le attività finalizzate all erogazione dei servizi in particolare dell OPR, che costituirà la base per la realizzazione del Sistema di gestione della Sicurezza delle Informazioni (SGSI) Interruzione di servizio La riduzione dei rischi connessi all interruzione di servizio è messa in pratica da una costante e continua azione di formazione ed informazione dei collaboratori, come previsto dal Piano di Formazione sulla sicurezza informatica, circa le procedure di emergenza, il backup e la conservazione dei dati Accessi non autorizzati La politiche di sicurezza sono orientate alla protezione efficace da minacce provenienti da soggetti interni e/o esterni non autorizzati ad accedere ai sistemi di gestione delle, rendendo meno probabile l intrusione e l illecita sottrazione e utilizzazione illegale di Qualità dei dati Le applicazioni software sono sviluppate con controlli interni, come specificato nel documento Procedura Interventi Software, in modo da prevenire errori durante il loro utilizzo con conseguente aumento della qualità dei dati trattati e dell efficienza operativa dei collaboratori Furti informatici La riduzione delle possibilità di furti informatici è perseguita tramite il controllo degli accessi fisici ai locali ove sono svolte le attività istituzionali di AGREA, le cui procedure sono descritte nel Documento Programmatico della Sicurezza ; le misure di sicurezza per i locali che ospitano i sistemi di gestione delle dell Agenzia sono esposte nel documento Gestione e controllo degli accessi ai locali di AGREA Software malevolo (virus, trojan, ecc.) Uno dei grandi rischi per la sicurezza delle di una organizzazione è rappresentato dal codice malevolo (malware: Virus, trojan, ecc.). I rischi connessi al software malevolo sono affrontati con una politica di formazione ed informazione dei collaboratori sui danni legati all utilizzo di software diverso da quello standard in dotazione. Contestualmente l Agenzia, è tutelata contro le minacce derivanti dal malware, dall aggiornamento continuo dei programmi specifici per la sua rilevazione ed eliminazione, tramite Accordo di Servizio per l utilizzo, da parte di AGREA, dei servizi informatici e di rete della Regione Emilia-Romagna. 17

18 7. Trattamento dei dati personali AGREA adotta la politica e le misure previste per il trattamento delle personali come descritta nel Documento programmatico della Sicurezza (DPS), redatto ai sensi del Codice della protezione dei dati personali. I dipendenti ed i collaboratori di AGREA sono tenuti ad attenersi a quanto disposto nel Manuale di Istruzioni per il trattamento dei dati personali e, in quanto incaricati sono stati informati e formati sulle modalità e comportamenti da mantenere durante il trattamento di dati personali. I dipendenti ed i collaboratori di enti e/o di imprese che a vario titolo utilizzano, in nome e/o per conto, oppure autorizzati in base ad uno specifico titolo (convenzione, contratto, accordo, ecc.), i sistemi di gestione delle e di rete dell Agenzia, sono tenuti ad osservare le regole contenute nel DPS. 8. Continuità Operativa (Business Continuity) La responsabilità della Continuità Operativa dell Agenzia è del Direttore che predispone il Piano di Continuità di Servizio (Business Continuity Plan - BCP), inteso come indicazione delle attività organizzative e tecnologiche, finalizzate alla continuità dei processi che concorrono alla missione dell Agenzia. Nella predisposizione del suddetto Piano il Direttore si avvale del supporto tecnico ed organizzativo del Comitato Direttivo per la Sicurezza (CDS) e del Comitato Operativo per la Sicurezza (COS), di cui ai precedenti punti 4.3 e Obiettivo Ripristinare una situazione di normalità, entro un tempo prestabilito, in relazione ai livelli di servizio attesi e rendere minimi gli impatti sui servizi erogati dall Agenzia, in particolare in qualità di OPR, procurati dall interruzione delle attività successive ad un guasto o disastro Requisiti per l operatività AGREA ritiene che possono presentarsi degli eventi disastrosi e cerca, con le precauzioni contenute nel BCP di contenere l'impatto di tali eventi sulle proprie attività. L'Agenzia riconosce che i sistemi di elaborazione delle sono elementi di criticità per la corretta erogazione dei servizi e una loro prolungata indisponibilità risulta essere altamente dannosa per l operatività dell Agenzia, in particolare per l erogazione dei servizi in qualità di OPR. 18

19 8.3. Elementi di pianificazione Le metodologie che consentono di redigere, realizzare e mantenere un BCP sono diverse e fanno riferimento a standard emanati da importanti istituti internazionali. Gli elementi comuni a tutti gli standard sono: - identificazione delle strutture di coordinamento della strategia di ripristino; in AGREA sono state individuate le seguenti strutture: Comitato Direttivo per la Sicurezza (CDS) di cui al punto 4.3; Comitato Operativo per la Sicurezza (COS) di cui al punto 4.4; - valutazione dei risultati dell Analisi dei Rischi delle Risorse informative per l individuazione dei processi e dei servizi critici e delle priorità di intervento; - predisposizione delle procedure da effettuare in caso di attuazione del BCP ; per i sistemi server le procedure sono definite nel Disaster Recovery Plan ; - sviluppo, documentazione e verifica del BCP. In AGREA la verifica del BCP sarà annuale e comunque successiva a significativi cambiamenti degli elementi che lo compongono. 9. Inventario delle risorse informatiche 9.1. Obiettivo Identificare, classificare e registrare le risorse hardware e software utilizzate dall Agenzia, al fine di tracciare l intero ciclo di vita : acquisizione, assegnazione, aggiornamento, manutenzione, dismissione. L inventario delle risorse informatiche è necessario per monitorare l obsolescenza delle risorse utilizzate, pianificare il loro ammodernamento, rinnovare le licenze e programmare gli investimenti in tecnologie dell informazione Inventario AGREA è dotata di un Inventario informatizzato delle risorse informatiche che compongono il sistema di gestione delle e la responsabilità della sua gestione è affidata alla Funzione Informatizzazione interna e gestione infrastrutture informatiche coadiuvata dal Responsabile alla Sicurezza informatica Inventario hardware Le risorse hardware sono classificate e per ciascuna di esse è compilata un scheda che contiene le delle loro caratteristiche tecniche, del fornitore da cui sono state acquisite, dell anno e della modalità di acquisizione, ecc., utili sia per un corretta gestione delle garanzie, sia per una gestione efficace della manutenzione e/o aggiornamento. 19

20 9.4. Inventario software I programmi software sono classificati e per ciascuno di essi viene compilata una scheda nella quale sono riportate la tipologia, il produttore, il fornitore, e nel caso di acquisizione con licenza d uso l anno di acquisizione utile per il pagamento dei relativi canoni di licenza annuali. 10. Sicurezza fisica ed ambientale Costituisce la forma di tutela che attiene alla protezione dei sistemi di elaborazione delle e si manifesta con misure fisiche dirette a garantire i servizi di controllo contro accessi non autorizzati ai locali ove sono ubicati i sistemi di gestione dell informazione. Preservare l integrità e la disponibilità dei sistemi di elaborazione dell informazione di AGREA per mezzo di misure atte ad impedire l accesso non autorizzato ai locali ove sono ubicati Obiettivo Minimizzare gli impatti delle minacce ai sistemi di elaborazione delle dovuti a danni o intrusioni Sicurezza delle aree Le aree che comprendono i locali ove risiedono i sistemi di gestione dell informazione dell Agenzia, sono dotate di barriere con punti di accesso controllati Sicurezza dei locali I locali sono dotati di sistemi, descritti nel DPS, atti a garantire e mantenere la sicurezza e l integrità delle apparecchiature e degli impianti, al fine di evitare guasti che possono causare interruzione fisica al funzionamento delle attività Controllo accessi ai locali Tutti i sistemi e apparecchiature di rete sono ubicati in edifici sicuri e con accesso vigilato. In particolare, i locali ove risiedono i sistemi server del sistema informativo OPR e le apparecchiature di rete sono aree ad accesso ristretto e l ammissione è consentita solo in presenza di personale interno autorizzato, come previsto per quanto riguarda il CED della Regione Emilia Romagna dalle procedure descritte nel Disciplinare Tecnico relativo al controllo degli accessi ai locali della Giunta della Regione Emilia-Romagna. L accesso ai locali di AGREA è regolamentato nel documento Gestione e controllo degli accessi ai locali di AGREA. 20

21 11. Sicurezza logica Obiettivo Impedire accessi non autorizzati tramite procedure di controllo dei collaboratori dell Agenzia e dei soggetti appartenenti a strutture esterne che, in forza di titolo (delega, contratto, accordo o convenzione), accedono alle applicazioni dell Agenzia. Proteggere le ed i sistemi di elaborazione e di comunicazione con misure tecnologiche ed organizzative atte a garantire il controllo degli accessi, la qualità delle, nonché la loro riservatezza ed integrità Accesso ai sistemi ed alle applicazioni Regole di Accesso I collaboratori interni ed i soggetti esterni (utenti), devono accedere solo ai sistemi a cui sono stati autorizzati. Ogni abuso di accesso a sistemi diversi da quelli autorizzati, è perseguito ai sensi dell articolo 615-ter del Codice Penale Accesso abusivo ad un sistema informatico o telematico, così come modificato dalla Legge 23 dicembre 1993 n. 547 Modificazioni ed integrazioni delle norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Qualora gli utenti dovessero accedere in modo incidentale a sistemi o ad applicazioni AGREA senza autorizzazione, sono tenuti a disconnettersi e segnalare l anomalia all indirizzo di posta agreautenze@regione.emilia-romagna.it Accesso alla rete regionale (autenticazione) AGREA provvede a dotare i propri collaboratori all atto del proprio insediamento, della credenziale d accesso alla rete regionale. Le regole tecniche ed organizzative per la sicurezza della rete, dei dati e delle trattate con l ausilio di strumenti elettronici, sono descritte nel Disciplinare Tecnico per utenti sull utilizzo dei sistemi informativi nella Giunta e nell Assemblea Legislativa della Regione Emilia-Romagna Accesso alle applicazioni (autorizzazioni) AGREA abilita i collaboratori propri ed appartenenti ad enti o organizzazioni con i quali è in essere un rapporto, ad essere autorizzati come utenti dei propri sistemi di elaborazione dell informazione. AGREA adotta la profilazione degli utenti, sia interni che esterni, per la concessione della credenziale d accesso alle applicazioni ed utilizza a tal fine una procedura formale mantenendo documentazione, cartacea ed elettronica, delle autorizzazioni concesse. 21

22 Il Responsabile alla Sicurezza controlla periodicamente, almeno una volta all anno, la validità funzionale di tutte le autorizzazioni attive per l accesso alle applicazioni di AGREA. La revoca all accesso ai sistemi di elaborazione delle di AGREA, viene attuata qualora decadono le caratteristiche di abilitazione di un utente Caratteristiche e gestione delle password AGREA considera la password, conformemente alle norme di sicurezza informatica, come una informazione confidenziale di autenticazione composta da una serie di caratteri e/o simboli, utilizzata per l accesso ai sistemi di elaborazione dell informazione. AGREA genera ed assegna password individuali e l utente è responsabile della sua riservatezza. La struttura delle password generate dai sistemi di AGREA presenta le seguenti caratteristiche informative e gestionali: obbligo di modifica al primo accesso; lunghezza minima di 8 caratteri; composizione con caratteri alfanumerici e simboli; validità massima minore di 180 gg; non ripetibilità delle tre password precedenti; disattivazione automatica dopo 180 gg di non utilizzo Utilizzo del software Gestione software su licenza AGREA acquisisce del software tramite pagamento delle relative licenze ed autorizza i collaboratori, utenti e amministratori, al loro uso. AGREA consente l uso solo di software autorizzato installato sui sistemi all atto della loro consegna e raccomanda agli utenti, in particolare per il software di produttività individuale, una attenta analisi di quello installato sui propri sistemi. Software diverso da quello in dotazione standard e comunque conforme alla politica di sicurezza dell informazione, deve essere richiesto dal Dirigente o dal Responsabile di funzione, dopo aver riconosciuto la necessità funzionale. AGREA proibisce che sui sistemi dati in dotazione ai collaboratori sia installato software non autorizzato e considera illegale, ai sensi del D.Lgs. 9 aprile 2003 n. 68 Attuazione della direttiva 2001/29/CE sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione, l uso di software acquisito ed utilizzato senza regolare licenza d uso Sviluppo di applicazioni software 22

23 Lo sviluppo delle applicazioni software avviene in coerenza con la strategia dell Agenzia ed orientato al supporto delle attività operative e direzionali, in una logica di ottimizzazione dell efficienza, efficacia, qualità e sicurezza della informazione ed in un contesto di massimizzazione del rapporto tra costi/benefici. Il processo di realizzazione delle applicazioni informatiche in AGREA, siano esse nuove applicazioni o modifiche e/o manutenzioni di natura correttiva o evolutiva di quelle esistenti richiesti da variazioni normative, organizzative o da utenti, si svolge secondo i seguenti criteri: coerenza con gli obiettivi indicati nel Piano Strategico del Sistema Informativo dell Agenzia ed uniformato alle indicazioni contenute nel Disciplinare Tecnico in materia di sicurezza della applicazioni informatiche nella Giunta della Regione Emilia-Romagna ; pianificazione e controllo delle varie fasi: analisi, disegno, sviluppo, deployment, test nel rispetto della Procedura Interventi Software ; conformità alle direttive comunitarie e nazionali sulla sicurezza delle ed allo standard ISO/IEC 27002: Backup dei dati ed uso dei dispositivi di memorizzazione Eventi dannosi dovuti ad errori accidentali possono comportare perdita di dati conservati sul computer personale con ripercussioni anche gravi sull attività lavorativa e sull erogazione dei servizi. Al fine di evitare il rischio di perdita di dati importanti, i collaboratori sono invitati a salvare periodicamente i dati residenti sul personal computer, nella cartella di rete accessibile tramite l icona Risorse del computer o altri supporti messi a disposizione dall Agenzia. L uso di supporti di memorizzazione rimovibili che contengono o hanno contenuto dati personali, possono essere riutilizzati o ceduti solo se debitamente e previamente cancellati in modo tale che, in modo permanente, non sia tecnicamente possibile il recupero di tali dati, come indicato nel DPS. 12. Sicurezza delle reti e delle comunicazioni Per garantire la sicurezza delle reti e delle comunicazioni occorre prevenire l accesso alle reti e l utilizzo illegale di, da parte di soggetti non autorizzati al fine di preservare la riservatezza dei dati e la disponibilità del servizio. Il Disciplinare Tecnico per utenti sull utilizzo dei sistemi informativi nella Giunta della regione dell Emilia-Romagna contiene le raccomandazioni sulla sicurezza della rete interna, le regole per la navigazione in Internet e le indicazioni per l uso appropriato della posta elettronica e la protezione contro il software malevolo. 23

24 13. Gestione degli incidenti Un incidente, nell ambito della sicurezza dell informazione, è un evento sospetto o una vulnerabilità tale da violare l integrità, la riservatezza e/o la disponibilità delle applicazioni, dei dati e/o dei sistemi di elaborazione delle. Tutti gli utenti devono attenersi alle indicazioni ricevute in materia di sicurezza delle e contenute nel Disciplinare Tecnico per utenti sull utilizzo dei sistemi informativi nella Giunta e nell Assemblea Legislativa della Regione Emilia-Romagna. Gli utenti che individuano o abbiano il sospetto riguardante un incidente al sistema di sicurezza, devono segnalarla utilizzando la procedura prevista dal Disciplinare tecnico per la gestione degli incidenti di sicurezza informatica della Giunta Regionale e della Assemblea legislativa. 24